La strategia e le azioni AgID per la gestione della sicurezza informatica delle PA [2013-07-10]
Cloud della PA, nuovi spazi per tutti - AgID...• strategia per la razionalizzazione dei data...
Transcript of Cloud della PA, nuovi spazi per tutti - AgID...• strategia per la razionalizzazione dei data...
1
La qualificazione AgID dei servizi cloud per le PA
Parte 1 - La strategia Cloud e le Circolari AgID n. 2 e n. 3 del 9 aprile 2018
Cloud della PA, nuovi spazi per tutti
Obiettivi e strategia del layer: infrastrutture
2
Il Piano Triennale per l’informatica nella PAindividua in AgID il soggetto responsabile didefinire e realizzare la:• strategia cloud (oggetto della
presentazione)• strategia per la razionalizzazione dei data
center
La strategia Cloud
3
1 Il principio Cloud FirstLe PA in fase di definizione di un nuovo progetto, e/o sviluppo dinuovi servizi, devono, in via prioritaria, valutare l’adozione delparadigma cloud prima di qualsiasi altra tecnologia
2 Il Cloud della PAIl Cloud della PA è il modello strategico che si compone diinfrastrutture e servizi qualificati da AgID sulla base di un insiemedi requisiti volti a garantire elevati standard di qualità per la PA
3 Il programma nazionaledi abilitazione al cloud
L’insieme dei progetti specifici che consentiranno alle PA dimigrare verso i servizi e le infrastrutture qualificate secondo ilmodello Cloud della PA
1. Il principio Cloud First
4
Per Cloud First si intende la valutazione prioritaria sulla possibilità di ricorrere a strumenti etecnologie di tipo cloud, nelle sue diverse articolazioni in modelli di servizio IaaS, PaaS e SaaS, nelmomento in cui le pubbliche amministrazioni intendono acquisire sul mercato nuove soluzioni eservizi ICT per la realizzazione di un nuovo progetto o nuovi servizi destinati a cittadini, impreseo utenti interni alla PA.
Per sfruttare in pieno i vantaggi del cloud, è opportuno che le amministrazioni valutino in primaistanza la presenza di servizi SaaS (principio SaaS First) nel Catalogo dei servizi cloud qualificatiper la PA che rispondono alle proprie esigenze e, solo in seconda istanza, prendere inconsiderazione soluzioni PaaS e infine IaaS.
5
SaaS
PaaS IaaS
CSP SPC PSN
PublicCloud
CommunityCloud
PrivateCloud
Catalogo dei servizi cloudCloud della PA
Serviziqualificati
Infrastrutturequalificate
2. Il modello strategico del Cloud della PA Il modello Cloud della PA consente di mitigare il rischio di affidare i dati della PA a provider che non garantiscono dei livelli adeguati di sicurezza e affidabilità, qualificando servizi e infrastrutture cloudsecondo specifici parametri idonei per le esigenze della PA, nel rispetto dei seguenti princìpi ed obiettivi:
• miglioramento dei livelli di servizio, accessibilità, usabilità e sicurezza
• interoperabilità dei servizi nell’ambito de modello Cloud della PA
• riduzione del rischio di «vendor lock-in»• riqualificazione dell’offerta, ampliamento
e diversificazione del mercato dei fornitori
• resilienza, scalabilità, «reversibilità» e protezione dei dati (GDPR)
• apertura del mercato alle Piccole e Medie Imprese (PMI)
3. Il programma nazionale di abilitazione al cloud
6
Il programma nazionale di abilitazione al cloud rappresenta l’insieme di progetti finalizzati amigrare in cloud l’attuale patrimonio IT della PA
Il framework di lavoro definito per il programma nazionale di abilitazione al cloud per la PA ècostituito da:• «Unità di controllo» con il ruolo di governare, gestire il programma ed evolverlo nella
prospettiva del miglioramento continuo dei processi e degli strumenti a supporto• «Unità di esecuzione» con il ruolo di realizzare i progetti di migrazione al cloud secondo
metodologie, strumenti e processi definiti• «Centri di competenza» con il ruolo di consolidare le competenze e l’esperienza relativa alla
gestione, al mantenimento e all’evoluzione dei servizi cloud nella PA
Le Circolari AgID n.2 e n.3 del 9 aprile 2018
7
Le Circolari AgID n. 2 e n. 3 del 9 aprile 2018 per la qualificazione dei CSP e dei servizi SaaS sono statepubblicate in Gazzetta Ufficiale il 20 aprile 2018 dopo un’ampia consultazione con il mercato.A partire dal 1 aprile 2019 le Amministrazioni acquisiscono esclusivamente servizi IaaS, PaaS e SaaSqualificati da AgID.
La qualificazione CSP è di 3 tipologie:• Richiesta «Tipo A» per erogare servizi di tipo IaaS o PaaS per la PA;• Richiesta «Tipo B» per qualificare la propria infrastruttura Cloud e per poter erogare servizi SaaS per
il tramite di tale infrastruttura (i servizi SaaS da erogare andranno qualificati separatamente);• Richiesta «Tipo C» per erogare tutti i servizi previsti nei due punti precedenti.
Con riferimento alla qualificazione dei servizi SaaS, il soggetto richiedente deve dichiararel’infrastruttura Cloud qualificata, nell’ambito del modello Cloud della PA attraverso la qualeintendere erogare il servizio.
Le Circolari AgID n.2 e n.3 del 9 aprile 2018
8
Il sito web di riferimento che espone tutta documentazione disponibile è https://www.agid.gov.it/it/infrastrutture/cloud-pa
Il catalogo dei servizi cloud qualificati è consultabile all’indirizzo:https://cloud.italia.it/marketplace
Le procedure di qualificazione sono disponibili all'indirizzo: https://cloud.italia.it/marketplace/supplier
All'indirizzo https://cloud.italia.it/projects/cloud-italia-docs/it/latest/ è disponibile il documento base che sintetizza tutti gli aspetti fondamentali della strategia nazionale governativa sul Cloud nella Pubblica Amministrazione.
9
La qualificazione AgID dei servizi cloud per le PAParte 2 - Il Catalogo dei servizi Cloud qualificati per la PA
Guida alla consultazione
Cloud della PA, nuovi spazi per tutti
Agenda
1 – Adozione del paradigma Cloud
2 – Qualificazione dei CSP e dei servizi SaaS
3 – Il Catalogo dei CSP e dei servizi Cloud qualificati
4 – La Scheda tecnica del servizio
10
11
• L’adozione del paradigma Cloud da parte della PA rappresenta unaimportante opportunità e al tempo stesso necessita di attentevalutazioni e scelte consapevoli
• Non tutti i servizi e le infrastrutture di Cloud Computing sono uguali intermini di sicurezza, affidabilità, prestazioni, interoperabilità, ecc.
• Il Cloud della PA intende dare delle risposte concrete alla necessità diinnovare e riqualificare i servizi IT della PA
L’adozione del paradigma Cloud da parte della PA
12
Percezione degli utenti sui rischi nell’adozione del CloudIDC Enterprise Panel
15,00%
8,00%
45,00%
12,00%
13,00%
8,00%
18,00%
74,60%
0,00% 10,00% 20,00% 30,00% 40,00% 50,00% 60,00% 70,00% 80,00%
CARENZA DI FORNITORI
REGOLAMENTAZIONI PROIBITIVE
POSSIBILE DIFFICOLTÀ NEL TORNARE ALLA SITUAZIONE PRECEDENTE
INSUFFICIENZA DI CUSTOMIZZAZIONE
INTEGRAZIONE CON I PROPRI SISTEMI
DISPONIBILITÀ
PERFORMANCE
SICUREZZA
13
• On-Demand, self-service
• Broad network access
• Resource pooling
• Rapid Elasticity
• Measured serviceThe NIST Definition of Cloud Computing
NIST special publication 800-145 (settembre 2011)
Caratteristiche essenziali dei servizi Cloud
14
Agenda
1 – Adozione del paradigma Cloud
2 – Qualificazione dei CSP e dei servizi SaaS
3 – Il Catalogo dei CSP e dei servizi Cloud Qualificati
4 – La Scheda tecnica del servizio
15
16
Le procedure di qualificazione si basano su requisiti tecnici e organizzativi:
• la sicurezza (dati, reti, vulnerabilità);
• adeguato supporto tecnico per il cliente;
• la trasparenza e informazioni sull’erogazione del servizio;
• strumenti di monitoraggio delle risorse, dei costi e dei livelli di servizio;
• qualità del servizio, con alcuni livelli di servizio garantiti obbligatori;
La Qualificazione dei CSP e dei Servizi Cloud (1/2)
17
Ulteriori requisiti:
• la protezione dei dati e la portabilità in tutte le fasi della fornitura
• l’interoperabilità mediante opportune API (esposte tramite WS SOAP/REST)
• reversibilità per abbattere il rischio di lock-in,
• conformità con le norme in materia di riservatezza dei dati.
La Qualificazione dei CSP e dei Servizi Cloud (2/2)
Agenda
1 – La strategia Cloud della PA
2 – Qualificazione dei CSP e dei servizi SaaS
3 – Il Catalogo dei CSP e dei servizi Cloud qualificati
4 – La Scheda tecnica del servizio
18
19
Il Catalogo dei servizi Cloud per la PA
https://cloud.italia.it/marketplace
Registro pubblico CSP Qualificati
Servizi IaaS Servizi PaaS Servizi SaaS
Servizi Revocati
20
Catalogo dei servizi Cloud per la PA qualificati (al 26/02)
20
Tipo B
Tipo C
7
7
14CSP
qualificati
Servizi IaaS
Servizi PaaS
Servizi SaaS
16
29
26
71Servizi
Qualificati
21
N. AZIENDA TIPO1 IBM Italia Spa Tipo C2 Oracle Corporation Tipo C3 Microsoft Corporation Tipo C4 Maggioli Spa Tipo B5 Amazon Web Services EMEA SARL Tipo C6 Siscom SPA Tipo B7 Apkappa SRL Tipo B8 Aruba S.p.A Tipo C9 Boxapps S.r.l. Tipo B
10 CSI Piemonte Tipo C11 E-SED Società Cooperativa Tipo B12 ADS Tipo B13 Ex Libris Italy SRL Tipo B14 Salesforce.com EMEA Limited Tipo C
Registro pubblico dei CSP qualificati (al 26/02)
22
Dei 26 servizi SaaS pubblicati in Catalogo, la maggior parte sono rivolti alle PA in generale.Sono presenti inoltre servizi dedicati a Comuni, Unioni e Città Metropolitane
CRM/ERP
Gestione dei servizi di assistenza ai cittadini
Gestione Policy e implementazione di normative
Knowledge management
Data Governance
Gestione processi di produzione, logistica, acquisto e vendita
Gestione workforce
Gestione processi di comunicazione
Gestione processi amministrativo – contabili
Gestione inventari e magazzino
Gestione integrata dei processi amministrativi
Progettazione e sviluppo
Pianificazione attività e supply chain
Gestione risorse umane, formazione e valutazione performance
Catalogo dei servizi SaaS (al 26/02)
23
Il Catalogo dei servizi Cloud per la PA
Agenda
1 – La strategia Cloud della PA
2 – Qualificazione dei CSP e dei servizi SaaS
3 – Il Catalogo dei CSP e dei servizi Cloud qualificati
4 – Scheda tecnica del servizio
24
25
Scheda tecnica del servizio
Parte generale
Ambito di applicazione
Supporto tecnico
Reti pubbliche
Attivazione e disattivazione
Piattaforme abilitanti
Utilizzo /erogazione
Misure di sicurezza / privacy
Livelli di servizio
Interoperabilità
Prestazioni e scalabilità
Modello di pricing
26
Scheda tecnica del servizioParte generale
Nome del Servizio
Descrizione generale
Caratteristiche funzionali e benefici
27
Scheda tecnica del servizioAmbito di applicazione
Cloud deployment model Public/Private/Hybrid
Cloud platform
Eventuali Servizi correlati
Dipendenze e prerequisiti
28
Scheda tecnica del servizioSupporto tecnico
Online ticketing
Telefono
Web chat
Disponibilità del supporto clienti (giorni e orari)
Tempi di risposta garantiti
Assistenza on site (descrivere se prevista)
Assistenza remota (descrivere se prevista)
29
Scheda tecnica del servizioAttivazione e disattivazione del servizio
Tempi di attivazione e disattivazione
Processo di attivazione
Processo di disattivazione
Estrazione dei dati a seguito di disattivazione
(tempistiche e modalità)
Formati in cui sarà possibile estrarre i dati
Estrazione e formati di altri asset (in seguito a disattivazione)
(tempistiche, modalità, tipi di asset e formati)
30
Scheda tecnica del servizioReti pubbliche
Rete SPC Si/No
GARR Si/No
Altro
31
Scheda tecnica del servizioPiattaforme abilitanti
SPID Si/No
PagoPA Si/No
Altro (elenco di eventuali altre piattaforme abilitanti rispetto alle quali il servizio è compatibile)
32
Scheda tecnica del servizioUtilizzo del servizio
Web Browser Si/No
Browser supportati (elenco dei browser supportati)
Applicativo da installare
Si/No
App Mobile Si/No
Differenze nella fruizione del servizio
(tra la versione Mobile e la versione Web/Desktop)
Altro tipo di fruizione (se prevista)
33
Scheda tecnica del servizioDocumentazione tecnica e interoperabilità
Documentazione tecnica Contenuti / URL Web / consultabile offline
Lingue in cui è disponibile la documentazione tecnica
API URL base / Autenticazione
Tipologia SOAP/REST
Funzionalità invocabili tramite API
Documentazione delle API URL Web / consultabile offline
Ambiente di test delle API (sandbox)
(se disponibile)
34
Interoperabilità
• Il Piano Triennale per l’informatica nella PA ha un capitolo specifico dedicato all’interoperabilità
• https://pianotriennale-ict.italia.it/interoperabilita/
• AgID ha definito le linee guida per il nuovo modello dell’interoperabilità• https://www.agid.gov.it/it/infrastrutture/sistema-pubblico-
connettivita/il-nuovo-modello-interoperabilita
35
Scheda tecnica del servizioScalabilità del servizio
Scalabilità del servizio Presente/Assente
Tipologia Automatica/Manuale
Modalità e condizioni previste per la scalabilità del servizio
(descrizione)
36
Scheda tecnica del servizioTrasparenza, metriche statistiche di utilizzo
Strumenti di monitoraggio delle risorse utilizzate
(risorse a consumo, costi e qualità del servizio)
Metriche disponibili
Statistiche disponibili
Report disponibili
37
Scheda tecnica del servizioLivelli di servizio garantiti
Availability
Support hours
Maximum First Support Response Time
Altri indicatori (elenco)
Monitoraggio in tempo reale dello stato del servizio
Si/No
Notifiche via SMS/email degli eventi di indisponibilità del servizio
Si/No
38
Scheda tecnica del servizioMisure di sicurezza e protezione dei dati
Controllo sulla localizzazione dei siti in cui verranno memorizzati e processati i dati
Si/No
Standard di sicurezza dei data center utilizzati per erogare il servizio
(elenco)
Frequenza con cui sono eseguiti i penetration test
Approcci utilizzati per proteggere i dati memorizzati dal servizio
Procedure per la cancellazione permanente dei dati
Si/No
39
Scheda tecnica del servizioMisure di sicurezza e protezione dei dati
Approcci utilizzati per la protezione dei dati in transito nelle reti esterne
(ad es. VPN, IPSEC, HTTPS, ecc.)
Meccanismi di autenticazione degli utenti
Possibilità di configurazione/customizzazione dei meccanismi di autenticazione
Si/No
Disponibilità di autenticazione a 2 fattori
Si/No
40
Scheda tecnica del servizioLocalizzazione data center e riservatezza dei dati
Localizzazione dei data centers
Italia/EU/Extra EU
Elenco nazioni extra EU
Norme sulla sicurezza e riservatezza dei dati e conformità al GDPR
(dettagli sulla conformità)
Accordi bilaterali (eventuale applicabilità di accordi bilaterali quali Privacy Shield EU-USA, ecc. volti alla salvaguardia dei dati)
41
Scheda tecnica del servizioModello di pricing
Prezzo base del servizio Parametri per il calcolo del prezzo
(unità di misura e eventuali quantità minime)
Altre condizioni
Contatto commerciale
42
Esempio praticoModello di pricing
43
La qualificazione AgID dei servizi cloud per le PA
Parte 3 – Cloud della PA, materiali e strumenti a disposizione
Cloud della PA, nuovi spazi per tutti
45
Disponibile all’indirizzo web:https://www.agid.gov.it/it/infrastrutture/cloud-pa/cloud-per-la-pa
Imprese
46
Disponibile all’indirizzo web:https://www.agid.gov.it/it/infrastrutture/cloud-pa/cloud-per-la-pa
Imprese
47
Disponibile all’indirizzo web:https://www.agid.gov.it/it/infrastrutture/cloud-pa/cloud-per-la-pa
PA e cittadini
48
Disponibile all’indirizzo web:https://www.agid.gov.it/it/infrastrutture/cloud-pa/cloud-per-la-pa
PA e cittadini
49
Guida alla compilazioneper la richiesta di qualificazione CSP e SaaS
I prossimimateriali
50
Disponibile all’indirizzo web:https://www.agid.gov.it/it/infrastrutture/cloud-pa/cloud-per-la-pa
Cloud della PA
51
Cloud della PA
Disponibile all’indirizzo web:https://www.agid.gov.it/it/infrastrutture/cloud-pa/cloud-per-la-pa
52
agid.gov.it
GRAZIE!
Il Paese che cambia passa da qui